F1 Risiko- og sårbarhetsanalyse (ROS-analyse) for 2007 av finansforetakenes bruk av IKT Stig.ulstein@kredittilsynet.no
Lysbilde 1 F1 FRB 12.10.2005
Disposisjon 1. Hva er hensikten med ROS-analysen? 2. Hvordan gjennomførte vi den i 2007? 3. Hvilke risikoområder ble identifisert? 4. Hvilke tiltak kan iverksettes? 2
1. Hensikt med ROS-analysen Hjemmelsgrunnlag og ansvar for oppfølging av regelverk: Kredittilsynsloven stiller krav til 3.Tilsynet skal se til at de institusjoner det har tilsyn med, virker på hensiktsmessig og betryggende måte i samsvar med lov og bestemmelser gitt i medhold av lov samt med den hensikt som ligger til grunn for institusjonens opprettelse, dens formål og vedtekter. IKT-forskriften stiller krav til at finansforetakets bruk av IKT virker på hensiktsmessig og betryggende måte gjennom å stille krav til ulike IKT-prosesser (metode referanse), hjemlet i Kredittilsynsloven. Basel 2 definisjon på Operasjonell risiko: Med operasjonell risiko menes risiko for tap som følge av utilstrekkelige eller sviktende interne prosesser eller systemer, menneskelige feil, eller eksterne hendelser. Reguleringstiltak som en følge av Basel II. EU-direktiv Lov om betalingssystemer, kapittel 3. Systemer for betalingstjenester 3-1. Formål Formålet med bestemmelsene i dette kapittel er å bidra til at systemer for betalingstjenester innrettes og drives slik at hensynet til sikker og effektiv betaling og til rasjonell og samordnet utførelse av betalingstjenester ivaretas. Andre lover og forskrifter gjelder også 3
Gjennomføring av den årlige ROS-analysen understøtter oppfølging av Kredittilsynets strategi, 2006-2010 1. Solide finansinstitusjoner og foretak med egnet ledelse, god internkontroll og risikostyring. 2. Robust infrastruktur som sørger for betryggende oppgjør og betalinger. 3. God overvåkning av risikoen i husholdninger, foretak og eiendoms- og verdipapirmarkedet. 4. Tilstrekkelig informasjon til investorer og brukere i finansmarkedet, og god kvalitet på finansiell rapportering fra børsnoterte foretak. 5. Å bidra til at aktørene i finansmarkedet overholder atferdsreglene og søke å forhindre atferd som kan medføre redusert tillit til finansmarkedet. 6. At kritiske situasjoner håndteres med minst mulig skadevirkninger. 4
ROS-analysen inn i et helhetsbilde Våre virkemidler R2/IT-tilsyn Informasjon og grunnlag for tiltak (1) Lover og forskrifter IKT-forskriften (2) IT-tilsynsvirksomhet (3) Årlig ROS-analyse av IKT (4) Meldeplikt systemer for betalingstjenester Regelverksutvikling Forvaltning Etterlevelse Etterlevelse Risiko Risikoforståelse Overvåkning og kontroll Etterlevelse Risiko -IKT-forskriften, veiledninger -Lov om betalingssystemer mv Bokføringsloven, hvitvaskinsforskriften, intern kontrollforskriften, Verdipapirhandelsloven, Kredittilsynsloven -Forskrift om minstekrav til kapitaldekning i... (operasjonell risiko BIA, TSA og AMA) Informasjon og kommunikasjon 5
2. Hvordan gjennomførte vi ROS-analysen i 2007? 20 Gjennomførte IT-tilsyn 35 Forenklede IT-tilsyn 10 Mottatte meldinger Intervju med 14 prioriterte foretak Ufullstendig, men nytt Datakilder opplegg fra 26.11.2008 Eksterne IT-tilsyn Intervju Hendelser Informasjon fra samarbeidspartnere, nasjonalt og internasjonalt Analyse og bearbeiding Viktig arbeid for å skaffe oversikt? Bruk av annen tilgjengelig kunnskap Internasjonale undersøkelser referanseramme Identifisering av risikoområder Gjennomføre og dokumentere ROS-analysen 6
3. Hvilke sårbare områder ble identifisert? Dokumentasjonsstruktur Oppbygging av årets ROS-analyse: 1. Innledning 2. Utviklingstrekk, risiko og sårbarhet 2.1 Viktige drivere som påvirker risiko i finanssektorens bruk av IKT 2.2 Utkontraktering av IKT - trender og risikoeksponering 2.3 Datakriminalitet rettet mot finanssektoren 3. Kilder og informasjonsbearbeiding hva fant vi? 3.1 IT-tilsyn 3.2 Intervjuer 3.3 Hendelser 3.4 Meldeplikt systemer for betalingstjenester 3.5 Risikoområder identifisert av andre 4. Risikoområder - Kredittilsynets vurderinger 5. Hva kan Kredittilsynet gjøre? 7
3. Hvilke risikoområder ble identifisert? Risikoområder - Kredittilsynets vurderinger 1. Infrastruktur manglende styring og kontroll 2. Manglende kvalitet på risikoanalyser 3. Bruk av åpne nettverk høy risiko 4. Nettbanker tilgjengelighet og angrep 5. Virker katastrofeløsningene? 6. Utkontraktering manglende kontroll 7. Endringspress manglende kontroll 8
1. Infrastruktur manglende styring og kontroll Viktige deler av infrastruktur inngår i samarbeidsopplegg. Uklar styring og kontroll sårbart. Liten samlet oversikt og kontroll i enkeltforetak, pga uklare samarbeidsopplegg og avtaler ved bruk av leverandører. Avhengigheten er stor. Risikoanalyser er i liten grad opptatt av ende til ende problemstilling og får dermed lite fokus på infrastruktur. Tjenestenektangrep: Hendelse i 2007 alvorlig trussel. Hendelse på Sentralbanestasjonen: Fysisk infrastruktur var sårbar. Kjernenettet til viktig IT-leverandør feilet store konsekvenser. NOU: 2006:6; Når sikkerhet er viktigst peker på problemstillingen. Nasjonale retningslinjer for å styrke informasjonssikkerheten 2007-2010 Nett, terminaler og tjenester smelter sammen og skaper kompleksitet og uoversiktlighet Samfunnskritisk infrastruktur må beskyttes bedre. 9
Kritisk infrastruktur og gjensidige avhengigheter NOU2006:6 Regjeringen Finanssektoren Sektor B Løsninger Hendelse som kan gjelde flere? Bank Bank A A IKT-infrastruktur Bank A IKT-infrastruktur Fellesskapet BBS, FinansNettNorge++ IKT-leverandører Telekommunikasjon Elforsyning 10 Befolkningen alminnelige brukere
2. Manglende kvalitet på risikoanalyser Foretakene kjenner i liten grad til eller følger standarder innen området. Foretakene har ikke tilstrekkelig kunnskap og fokus på risikoprosessen. Få foretak har risikoanalyse som en definert del av virksomhetens planverk. Mange av risikoanalysene er fortsatt overflatiske og ufullstendige. Det gjelder også blant de store foretakene. De ansvarlige for foretaket etterspør ikke tilstrekkelig om informasjon knyttet styring og kontroll (IT-Governance). IT-folk klarer ikke tilstrekkelig å klargjøre risikoområder og konsekvenser av uønskete hendelser for forretningsledelse. 11
3. Bruk av åpne nettverk høy risiko Det at alle har adgang og ingen bestemmer gjør at vi definerer Internet som et åpent nett. Internet er altså et åpent nett, i det vesentlige uorganisert og under stadige angrep. Virus angrep i større foretak i 2007. Tjenestenektangrep i 2007 med bruk av BOT-nett (store ressurser). Sårbarheter i protokoller og programmer øker. Internet benyttes både som tjenestekanal, markedsplass og informasjonsområde. Trådløse og mobile nettverk. Sikkerheten ligger ofte etter. Kompetansegapet øker i takt med økt kompleksitet. Lover, rettsforfølging og policy henger ikke med den tekniske utvikling og globaliseringen. Angriperne blir bedre organisert og opererer på tvers av markeder og landområder. 12
4. Nettbanker Nettbank har blitt en helt sentral kanal for betalingsformidling i Norge. Nettbanken når helt ut til kunden kundens PC er usikker. Det er relativt lite kunden kan gjøre for å øke sikkerheten. I 2007 har vi hatt flere ulike hendelser og alvorlige problemer knyttet til bruk av nettbank. I hovedsak gjennom såkalt: MITMA. Funksjoner fra BankID benyttet i nettbanken har eksponert sårbarheter. Tilgjengelighet til nettbank 24/7 kontinuitet Ikke tilfredsstillende. Brukergrensesnitt nettbank Robusthet ved bruk 13 tiltak innført. Mangel på etablering av prosesser for å sikre forsvarlig bruk av ny teknologi. Mangel på evnen til å måle og overvåke risiko i løsningen. Lovgivningen henger etter (Finansavtaleloven). 13
14
5. Virker katastrofeløsningene Manglende og/eller utilstrekkelig testing for å verifisere effektiv katastrofeløsning. Manglende oppdatering av endringer i kontinuitets- og katastrofeløsningen. Del av infrastruktur hvor det er vanskelig å sikre full kontroll? Manglende ende til ende testing når mange ulike elementer og parter inngår i løsningen gir usikkerhet på totalløsningen. Om katastrofeløsningen ikke er testet og bekreftet må det antas at den ikke er virksom! Erfaringen viser dette. 15
6. Utkontraktering manglende kontroll Utfordrende å sikre tilstrekkelig kompetanse og ressurser til å ha nødvendig styring og kontroll. Krevende situasjon å opprettholde evnen til å kontrollere leveransene tilstrekkelig. Liten evne til å påvirke løsninger og å stille fremtidskrav. Manglende oversikt over lover og regler i det land hvor de utkontrakterte oppgavene utføres. Utfordrene å sikre virksom katastrofeløsning. Problematisk å sikre håndtering av prosessen i en katastrofesituasjon. Vanskelig å sikre tilstrekkelig oversikt over infrastruktur som inngår i løsningen. 16
7. Endringspress manglende kontroll Regelverksendringer skaper endringspress Økt konkurranse skaper endringspress Teknologiske endringer skaper endringspress Endring i forretningsmodell skaper endringspress Økning i antall hendelser skaper endringspress Mangler i etablerte prosesser og/eller etterlevelse Summen av endringer som må gjennomføres stiller store krav til organisasjonens evne til endringshåndtering og gir økt risiko for feil. 17
4. Hvilke tiltak kan iverksettes? VP 2008 Opprettholde høyt volum på IT-tilsyn. Gjennomføre ny ROS-analyse Informasjon og kommunikasjon. Videreutvikle tilsynsopplegg på risikosensitivt tema. Videreutvikle opplegg knyttet til systemer for betalingstjenester Kartlegging og analyse av påloggings-, autorisasjons-, signerings-, sikkerhets- og autentiseringsmekanismer. Fullføre arbeid med kartlegging og analyse av infrastruktur. Bidra til økt kvalitet i foretakenes egne ROS-analyser. -Oppfølging gjennom IT-tilsyn og egen veiledning for IKTforskriftens 3 Risiko. Oppfølging av etablert opplegg for håndtering av hendelser. Bygge ut videre samarbeidsrelasjoner nasjonalt og internasjonalt. Fortsette et aktivt samarbeid med bransjeorganisasjonene. 18
IKT-prosesser IKT-risiko Test og bekreftelse Strategi for utvikling av IT-tilsynsopplegg Tilnærming er : IKT-prosesser basert på Cobit s 34 IT-prosesser Utviklet 170 kontrollspørsmål relatert til enkeltprosesser som kontrollmål. Opplegget benyttes i et egenevalueringsopplegg med JA/NEI svar. Det er andre elementer i tillegg. Vi har nå 5. generasjon kontrollspørsmål CobiT 4.1. (PWC gjorde kvalitetssikring på 1. versjon) Basert på hva du skal gjøre. Tilnærming er : Utvalgte IKT-temaer basert på en risikovurdering. Utviklet moduler med kontrollspørsmål knyttet til utvalgte risikoområder. Opplegget benyttes i et egenevalueringsopplegg med JA/NEI svar. Antivirus, brannmur, nettbank, katastrofeløsning, antihvitvasking, betalingssystemer, Basel II (IRB-modeller), IT-driftsprosesser (ITIL) og meldeplikten (19). Det er andre elementer i tillegg. Dreies mot hvordan du skal gjøre det. Tilnærming er : Transaksjonstest på utvalgte IKT-produkter basert på en risikovurdering (ende til ende). Dette er under arbeid med utgangspunkt i infrastrukturkartlegging og ende til ende analyse. Tatt utgangspunkt i å få frem et mer risikosensitivt tilsynsopplegg. Kontroll av resultat. Basert på tillit og at prosessene er dokumentert Basert på konstatering 19 CobiT: Control Objectives for Information and Related Technology ITIL:Information Technology Infrastructure Library IRB: Internal Rated Based
Ufullstendig rapportering av hendelser en operasjonell risiko? 20
Vår definisjon av hendelser Alle hendelser som ikke er en del av den normale driftssituasjon og som medfører eller kan medføre brudd på konfidensialitet, integritet eller tilgjengelighet. Årsaken kan være: Driftsavvik Feil Brudd i sentral infrastruktur Fysiske skader som brann eller flom Ondsinnede angrep 21
Hva skal kvalifisere en IKT-hendelse for registrering og rapportering? Kvantitative og eller kvalitative mål som kriterium: tilgjengelighet integritet konfidensialitet tid antall brukere berørt tap av penger tap av renome Sjekket mot ulike standarder. ISO og ITIL er nærmest. Vurderes gjennom prøveperioden. 22
Hvorfor rapportering av hendelser? Kan bidra til bedre styring av operasjonell risiko i foretakene Samsvarer med krav i Basel II for foretak som velger avansert modell (AMA) for estimering av operasjonell risiko En viss Ris bak speilet effekt Rapportering til en felles instans gir en samlet oversikt over situasjoner som kan indikere trender foretaket selv ikke ser Kan gi benchmarking foretakene imellom og trend over tid Gir et mål på stabiliteten slik at myndighetene kan sette inn tiltak for å forebygge og bremse en utvikling Viktig datakilde til ROS-analyser både det enkelte foretak og i bransjer 23
Hvilke typer foretak var dette aktuelt for? Aktuelle kategorier foretak: Banker, børser, oppgjørssentraler, verdipapirselskap Forvaltningsselskap for verdipapirfond, forsikring liv og skade, pensjonskasser Inkassoforetak, eiendomsmeglingsforetak Første kategori mest aktuell I tillegg vurdere: IT-leverandører Sammenslutninger av banker rapportere felles Ble valgt: Spare- og forretningsbanker, VPS, Oslo Børs og BBS. 24
Registrering av hendelser 9 om Avvikshåndtering i IKT-forskriften stiller krav til at avviksprosedyren skal omfatte alle avvik, men spesifiserer ikke krav til selve registreringen av disse Spesifiserte krav til registrering av hendelser kan legge til rette for: Samlet database over hendelser dokumentert på samme format Utveksling av data mellom foretak og myndighet Utveksling av data mellom foretakene Grunnlag for benchmarking av foretakene Grunnlag for rask reaksjon 25
Høringskommentarer - Evaluering Høringskommentarer og iversetting: Hendelsesrapporteringen vil bli fortløpende evaluert av Kredittilsynet. Viser det seg at rapporteringen av hendelser ikke er på et riktig nivå, vil Kredittilsynet ta kontakt med aktuelle foretak for å justere nivået på rapporteringen. Generelt anmoder Kredittilsynet foretakene om å rapportere hvis de er i tvil om hendelsen kvalifiserer for rapportering eller ikke. Etter en prøveperiode på 12 måneder vil Kredittilsynet gjøre en evaluering av hendelsesrapporteringen. Erfaringen så langt er tilfredsstillende. Mottatt ca. 80 meldinger fra 26.11.2007 til 15.05.2008. 26
Takk for oppmerksomheten! Stig.Ulstein@kredittilsynet.no 27